Podatność w silniku szablonów vBulletin umożliwia atakującym zdalne wykonanie dowolnego kodu PHP poprzez nadużycie mechanizmu Template Conditionals. Luka była aktywnie wykorzystywana w środowiskach produkcyjnych w maju 2025 roku.
▸ Pokaż oryginał (EN)
Certain vBulletin versions might allow attackers to execute arbitrary PHP code by abusing Template Conditionals in the template engine. By crafting template code in an alternative PHP function invocation syntax, such as the "var_dump"("test") syntax, attackers can bypass security checks and execute arbitrary PHP code, as exploited in the wild in May 2025.
Atakujący sprytnie tworzy złośliwy kod szablonu, korzystając z alternatywnej składni wywołań funkcji PHP — na przykład notacji typu "var_dump"("test") — osadzonej w warunkach szablonu (Template Conditionals). Silnik szablonów vBulletin przetwarza tak spreparowany kod bez skutecznego odfiltrowania niebezpiecznych konstrukcji, co pozwala ominąć mechanizmy kontroli bezpieczeństwa. W efekcie atakujący uzyskuje możliwość wykonania dowolnych instrukcji PHP w kontekście serwera aplikacji.
Atakujący może przejąć pełną kontrolę nad serwerem hostującym vBulletin, co obejmuje wyciek danych (C:H), modyfikację lub usunięcie treści (I:H) oraz zakłócenie dostępności usługi (A:H). Podatność ma charakter bezagentowy i nie wymaga uwierzytelnienia ani interakcji użytkownika.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie możliwości edycji szablonów wyłącznie do zaufanych administratorów oraz monitorowanie logów serwera pod kątem nieoczekiwanych wywołań funkcji PHP w kontekście silnika szablonów.
Określone wersje vBulletin (versje wskazane w referencjach producenta i powiązanych analizach badaczy bezpieczeństwa)
Zgodnie z opisem EN podatność była aktywnie eksploitowana w środowiskach produkcyjnych w maju 2025 roku. Pomimo tego faktu, status CISA KEV w metadanych wskazuje wartość NIE, co może oznaczać, że wpis jeszcze nie został formalnie dodany do katalogu CISA KEV w momencie publikacji. Zaleca się traktowanie tej podatności jak aktywnie eksploitowanej i pilne wdrożenie dostępnych poprawek.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HVbulletin
APPVbulletin6.0.3
Powiązane podatności
vBulletin 5.5.4 through 5.6.2 allows remote command execution via crafted subWidgets data in an ajax/render/wi...
vBulletin 5.x through 5.5.4 allows remote command execution via the widgetConfig[code] parameter in an ajax/re...
vBulletin — nieautoryzowany dostęp do chronionych metod API (RCE)
vBulletin before 5.6.9 PL1 allows an unauthenticated remote attacker to execute arbitrary code via a crafted H...
vBulletin 5.5.4 through 5.6.2 allows remote command execution via crafted subWidgets data in an ajax/render/wi...